오늘날의 해커들은 현명 해졌습니다. 당신은 그 (것)들에게 경미한 허점을주고 당신의 부호를 부수기 위하여 그것을 완전히 이용한다. 이번에는 해커의 분노가 오픈 소스 암호화 라이브러리 인 OpenSSL에 떨어졌으며 인터넷 서비스 제공 업체가 가장 일반적으로 사용했습니다.
현재 OpenSSL은 6 가지 취약점에 대한 시리즈 패치를 발표했습니다. 이 두 가지 취약점 중 CVE-2016-2107 및 CVE-2016-2108을 비롯하여 매우 심각한 것으로 간주됩니다.
CVE-2016-2017은 심각한 해킹으로 해커가 Padding Oracle Attack을 시작할 수있게합니다. Padding Oracle Attack은 AES-CBC 암호를 사용하는 인터넷 연결을 위해 HTTPS 트래픽을 해독 할 수 있으며 AES-NI를 지원하는 서버와 함께 사용할 수 있습니다.
Padding Oracle Attack은 해커가 암호화 된 페이로드 컨텐츠에 대한 일반 텍스트 컨텐츠를 반복적으로 요청할 수있게하여 암호화 보호 기능을 약화시킵니다. 이 취약점은 Juraj Somorovsky가 처음 발견했습니다.
Juraj는 블로그 게시물에 " 우리가이 버그에서 배운 것은 암호 라이브러리를 패치하는 것이 중요한 작업이며 부정적인 테스트뿐만 아니라 긍정적 인 테스트를 통해 검증되어야한다는 것입니다. 예를 들어 CBC 패딩 코드의 일부를 다시 작성한 후에는 TLS 서버가 잘못된 패딩 메시지로 올바른 동작을 테스트해야합니다. TLS-Attacker가 한 번 이러한 작업에 사용될 수 있기를 바랍니다. "
OpenSSL 라이브러리에 충돌 한 두 번째 높은 심각도 취약점은 CVE 2016-2018입니다. 이것은 인코딩, 디코딩 및 데이터 전송에 사용되는 OpenSSL ASN.1 표준의 메모리에 영향을 미치고 손상시키는 주요 결함입니다. 이 특정 취약점으로 인해 온라인 해커는 웹 서버를 통해 악성 콘텐츠를 실행 및 확산 할 수 있습니다.
CVE 2016-2018의 취약점은 2015 년 6 월에 수정되었지만 보안 업데이트의 영향은 11 개월 후에 밝혀졌습니다. 이 특정 취약점은 인증 기관에서 정식으로 서명 한 사용자 정의 및 위조 된 SSL 인증서를 사용하여 악용 될 수 있습니다.
OpenSSL은 동시에 4 개의 다른 마이너 오버 플로우 취약점에 대한 보안 패치도 발표했습니다. 여기에는 두 개의 오버플로 취약점, 하나의 메모리 고갈 문제 및 하나의 낮은 심각도 버그가 포함되어있어 임의 스택 데이터가 버퍼에 반환됩니다.
보안 업데이트는 OpenSSl 버전 1.0.1 및 OpenSSl 버전 1.0.2 용으로 출시되었습니다. OpenSSL 암호화 라이브러리에 대한 추가 피해를 피하기 위해 관리자는 가능한 한 빨리 패치를 업데이트하는 것이 좋습니다.
이 뉴스는 원래 The Hacker News에 게시되었습니다.
